Fórum Root.cz
Hlavní témata => Server => Téma založeno: ZAJDAN 26. 01. 2022, 20:35:10
-
Ahoj...
pokud generuji lokální Root CA -> Intermediary -> Server Certifikáty, tak abych mohl server certifikáty revokovat potřebuju nutně OCSP klíč a certifikát?
-
Existují dva způsoby revokace: OCSP a CRL. To první vyžaduje provozovat a udržovat OCSP responder, to druhé je starší a funguje přes stahování seznamů revokovaných certifikátů z dané URL. Ani jedno dnes vlastně nefunguje, protože obojí to Chrome ignoruje.
Pokud jde o původní dotaz, OCSP je popsáno v RFC6960 (https://datatracker.ietf.org/doc/html/rfc6960) a tam se dočtete, že jeho odpověď může být podepsána klíčem samotné autority nebo speciálním klíčem pro OCSP, který autorita prohlásí v certifikátu za důvěryhodný.